Чтобы создать LDAP-подключение к Active Directory:
Откройте раздел Параметры → LDAP-сервер веб-интерфейса KUMA.
Выберите или создайте тенант, для которого хотите создать подключение к LDAP.
Откроется окно Интеграция с LDAP-сервером по тенантам.
Нажмите на кнопку Добавить подключение.
Откроется окно Параметры подключения.
Добавьте секрет с учетными данными для подключения к серверу Active Directory. Для этого выполните следующие действия:
Если вы добавили секрет ранее, в раскрывающемся списке Секрет выберите существующий секрет типа credentials.
Выбранный секрет можно изменить, нажав на кнопку .
Если вы хотите создать новый секрет, нажмите на кнопку .
Откроется окно Секрет.
В поле Название (обязательно) введите название секрета: от 1 до 128 символов в кодировке Unicode.
В полях Пользователь и Пароль (обязательно) введите учетные данные для подключения к серверу Active Directory.
Вы можете указать имя пользователя в одном из следующих форматов: <имя пользователя>@<домен> или <домен><имя пользователя>.
В поле Описание введите описание до 4000 символов в кодировке Unicode.
Нажмите на кнопку Сохранить.
В поле Название (обязательно) введите уникальное имя LDAP-подключения.
Длина должна быть от 1 до 128 символов в кодировке Unicode.
В поле URL (обязательно) введите адрес контроллера домена в формате <hostname или IP-адрес сервера>:<порт>.
Вы можете указать через запятую адреса нескольких серверов с контроллерами домена на случай, если один из них будет недоступен. Все указанные серверы должны находиться в одном домене.
Если вы хотите использовать TLS-шифрование для соединения с контроллером домена, в раскрывающемся списке Тип выберите один из следующих вариантов:
startTLS.
При использовании метода startTLS сначала устанавливается незащищенное соединение по порту 389, а затем отправляется запрос на шифрование. Если команда STARTTLS завершается с ошибкой, соединение обрывается.
Расширение обычного протокола текстового обмена, которое позволяет создать зашифрованное соединение (TLS или SSL) прямо поверх обычного TCP-соединения вместо открытия для шифрованного соединения отдельного порта.
Убедитесь, что порт 389 открыт. В противном случае соединение с контроллером домена будет невозможно.
ssl.
При использовании SSL сразу устанавливается шифрованное соединение по порту 636.
незащищенный.
При использовании шифрованного соединения невозможно указать IP-адрес в качестве URL.
Если на предыдущем шаге вы включили TLS-шифрование, добавьте TLS-сертификат. Следует использовать сертификат удостоверяющего центра, которым подписан сертификат сервера LDAP. Пользовательские сертификаты использовать нельзя. Чтобы добавить сертификат, выполните следующие действия:
Если вы загрузили сертификат ранее, выберите его в раскрывающемся списке Сертификат.
Если ранее не было добавлено ни одного сертификата, в раскрывающемся списке отобразится Нет данных.
Если вы хотите загрузить новый сертификат, справа от списка Сертификат нажмите на кнопку .
Откроется окно Секрет.
В поле Название введите название, которое будет отображаться в списке сертификатов после его добавления.
По кнопке Загрузить файл сертификата добавьте файл с сертификатом Active Directory. Поддерживаются открытые ключи сертификата X.509 в Base64.
Если требуется, укажите любую информацию о сертификате в поле Описание.
Нажмите на кнопку Сохранить.
Сертификат будет загружен и отобразится в списке Сертификат.
В поле Время ожидания в секундах укажите, сколько времени требуется ожидать ответа от сервера контроллера домена.
Если в поле URL указано несколько адресов, то KUMA будет ждать ответа от первого сервера указанное количество секунд. Если за это время ответ не будет получен, программа обратится к следующему указанному серверу и т.д. Если ни один из указанных серверов не ответит в течение заданного времени, подключение будет прервано с ошибкой.
В поле База поиска (Base DN) введите базовое отличительное имя каталога, в котором должен выполняться поисковый запрос.
Невозможно добавить стандартные Импортируемые атрибуты из AD в качестве пользовательских. Например, если вы захотите добавить стандартный атрибут accountExpires в качестве пользовательского атрибута, при сохранении параметров подключения KUMA вернет ошибку.
Из Active Directory можно запросить следующие атрибуты учетных записей:
accountExpires
badPasswordTime
cn
co
company
department
description
displayName
distinguishedName
division
employeeID
givenName
l
lastLogon
lastLogonTimestamp
mail
mailNickname
managedObjects
manager
memberOf (по этому атрибуту события можно искать при корреляции)
mobile
name
objectCategory
objectGUID (этот атрибут запрашивается из Active Directory всегда)
objectSid
physicalDeliveryOfficeName
pwdLastSet
sAMAccountName
sAMAccountType
sn
streetAddress
telephoneNumber
title
userAccountControl
userPrincipalName
whenChanged
whenCreated
После того, как вы добавите пользовательские атрибуты в Параметрах подключения к LDAP, раскрывающийся список LDAP-атрибуты в коллекторе будет автоматически дополнен. Пользовательские атрибуты можно отличить по знаку вопроса рядом с именем атрибута. Если для нескольких доменов вы добавили один и тот же атрибут, в раскрывающемся списке атрибут будет указан один раз, а домены можно просмотреть, если навести курсор на знак вопроса. Названия доменов отображаются в виде ссылок: если вы нажмете на ссылку, домен автоматически добавится в Сопоставление с учетными записями LDAP, если прежде он не был добавлен.
Если вы удалили пользовательский атрибут в Параметрах подключения к LDAP, удалите вручную строку с атрибутом из таблицы сопоставления в коллекторе. Информация об атрибутах учетных записей в KUMA обновляется каждый раз после того, как вы выполните импорт учетных записей.
После перезапуска коллектора KUMA начнет обогащать события учётными записями.
Установите флажок Выключено, если не хотите использовать это LDAP-подключение.
По умолчанию флажок снят.
Нажмите на кнопку Сохранить.
LDAP-подключение к Active Directory создано и отображается в окне Интеграция с LDAP-сервером.
Информация об учетных записях из Active Directory будет запрошена сразу после сохранения подключения, а затем будет обновляться с указанной периодичностью.
Если вы хотите использовать одновременно несколько LDAP-подключений для одного тенанта, вам нужно убедиться, что адрес контроллера домена, указанный в каждом из этих подключений, является уникальным. В противном случае KUMA позволяет включить только одно из этих подключений. Порт при проверке адреса контроллера домена на уникальность не проверяется.